I ljuset av resultaten från undersökningen kan vissa diskussioner lyftas angående den aktuella teorin och studiens resultat. I första hand kan teorins lämplighet för studien diskuteras. Teorin är ursprungligen inte en normativ teori som beskriver hur organisationer ska arbeta för att bli mer pålitliga, utan en deskriptiv teori som beskriver hur några särskilda organisationer arbetar för att vara mer pålitliga. Det finns däri en begränsning i teorin gällande hur man kan mäta relevansen av åtgärder vidtagna av en organisation inom någon av de fem principerna som
33 presenteras. Det finns exempelvis ingen möjlighet att värdera vilket sätt som är det mest effektiva eller bättre av Folkhälsomyndigheten och CERT-SE:s olika krisorganisationer kopplat till teorin. Det kan endast konstateras att de båda har en möjlig organisation på plats vilket tydliggör att de arbetar med frågan. I den utsträckningen kan de flesta organisationer konstateras arbeta med resiliens i någon mån. Hur omfattande detta arbete måste vara för att det ska räknas är något som lämnas obesvarat. Ett annat exempel kan väckas kring organisationernas arbete med forskning. Där kan forskningsmedel jämföras för att finna skillnader i mängd som organisationerna spenderar på utveckling. Men hur mycket av forskningen som sedan implementeras i verksamheten kräver djupare analys och hur sedan detta påverkar den faktiska produktionen kräver ännu en nivå av analys. Teorin kan därför sägas lämpa sig sämre om studiens jämförelse baserades på vilken organisation som är en HRO eller ligger närmast i att vara det. Då studiens syfte istället är att använda teorin som ramverk för att finna skillnader mellan dem kan den i detta avseende ses som väl lämplig.
Studiens resultat finner att CERT-SE:s övervakning, i relation till folkhälsoövervakningen, skulle gynnas av multilateralt bindande avtal om informationsutbyte. Detta stämmer väl överens med Smith III (2016) och Brantlys (2017) slutsatser om cybersäkerhetsarenans problem med fragmenterade lägesbilder och brist på samverkan vid större incidenter. Om ett avtal likt det internationella hälsoreglementet eller motsvarande på regional nivå kunde implementeras för cybersäkerhet skulle ansvar och säkerställande av fördelning av information tydliggöras. Detta skulle innebära större tillgång till information för CERT-SE och om bindande avtal om informationsspridning skulle etableras skulle de också kunna vara än mer säkra på att de skulle bli underrättade vid större händelser. Om inte ens en integrerad region som EU kan säkerställa bindande avtal om informationsdelning angående IT-incidenter och skadlig kod, kan detta ge en fingervisning om hur långt bort ett globalt bindande avtal ligger. Den frivilliga och förtroendebaserade samordningen som sker inom fältet idag är bräcklig då säkerhetspolitiska skiftningar kan förändra förtroendet mellan länder väldigt snabbt. En annan risk med det förtroendebaserade systemet som finns idag är att stora aktörer på cybersäkerhetsområdet utelämnas på grund av säkerhetspolitiska anledningar. Samverkan med ansenliga cybersäkerhetsaktörer som Ryssland och Kina blir begränsad eller uteslutande. Dessa aktörer har betydande resurser inom området och är själva hårt ansatta av cyberattacker, vilket kan ge värdefull information till CERT-SE om möjliga typer av skadlig kod som kan förväntas göra entré i Sverige inom kort. Användandet av skadlig kod som vapen och säkerhetspolitiskt
34 verktyg måste erkännas vilket kan försvåra bindande globalt samarbete inom cybersäkerhet. Ett sätt att kringgå denna låsning är att det bindandet avtalet uppdateras med vissa typer av skadlig kod som medlemmarna kommer överens om är av kriminell natur och som samtliga förlorar på att det fortsätter spridas, liknande en anmälningspliktig sjukdom. Exempelvis skulle Conficker-masken, vars syfte var att sprida falsk reklam, kunna sättas på denna ”lista” så att en mer komplett lägesbild skulle kunna målas och åtgärder mot den lättare samordnas. Detta skulle kräva universell konsensus inom området för att kunna möjliggöras, något som tidigare inte kunnat nås då hotets grad kanske inte uppfattas som så gravt att det tillåter nödvändiga kompromisser.
Tidigare organisationer för globalt samarbete inom cybersäkerhet som FIRST och IMPACT eller helt nya organisationer kan komma att spela större roll i framtiden då fler enheter kopplas upp, digitaliseringen av tidigare utvecklingsländer slår igenom och fler samhällsviktiga system sammankopplas med internet. Det kraftigt eftersatta cybersäkerhetsarbetet har en lång väg att vandra i jämförelse med det epidemiologiska arbetet. Möjligheten att se cybersäkerhet med folkhälsoögon kan underlätta detta. Internet ägs av alla som är sammankopplade till det. Sverige är beroende av alla andra stater som använder internet och för att öka Sveriges motståndskraft mot cyberhot ligger många av lösningarna globalt. Ansvaret för internets hälsa kan därför inte läggas på en skild stat eller företag utan måste säkerställas av ett globalt ansvarstagande.
En etisk diskussion kan väckas från resultatet. Framsidan av denna studie pryds av ett öga som ofta symboliserar övervakning. Denna bild tillsammans med begrepp om övervakning inom det fria internet kan ge integritetsvärnande människor rysningar i kroppen och tankar till dystopiska framtidsscenarion i stil av Orwells (1984) massövervakning i boken 1984. Om en global organisation skulle etableras där länder var tvungna att dela information med varandra i cyberrelaterade hot skulle det kunna vara en möjlighet för totalitära regimer att ursäkta insamlandet av metadata för att spionera på sina medborgare. Det finns en risk att diskussionen lutar åt detta hål när frågan om informationsdelning på global nivå diskuteras och det är en invändning som måste respekteras. I nuläget kan det dock anses att Sullivans (2012) argument om att ökad övervakning och samordning inom cybersäkert kan minska risken för att användares integritet kränks genom att en säkrare cyberarena etableras. Vilket som är det
35 största hotet, möjligheten att en supranationell organisation olovligen övervakar dig eller att skadlig kod från kriminella kränker din integritet är dock självklart öppet för diskussion.